The UN has decided the fate of the Internet at the WSIS

Today, December 18, 2025 a major international conference has concluded at the UN HQ in NY with vast represcusions for the future of a free, global internet.

For the first time at this level, the UN explicitly admits: **”Digital Public Goods” are the foundation.**

The document clearly spells out support for:
* Open Source Software (OSS)
* Open Data
* Open AI models
* Open Standards

This is what Pirates have been shouting about for years! Knowledge and code must belong to humanity, not locked behind corporate paywalls. Copyright must not strangle progress.

The main fear was that governance of the Web would be handed over exclusively to states.

The resolution confirms decisions aren’t just made by the suits in ministries

The Internet Governance Forum (IGF) is now a permanent UN institution!

While there are positives that came out of the event, there are also texts we need to carefully observe.

1. **”Sovereign Equality of States” (Para 4):**
Human rights do not end where a state’s IP address range begins.

2. **”Security” vs Freedom:**
Lots of words about cybersecurity and “malicious acts.” We know how often total surveillance and encryption backdoors are implemented under the pretext of fighting “fakes” and “cyber threats.”

3. **The Digital Divide:**
A third of the world is still offline. The UN promises to connect everyone, but if that connection is to a fenced-off, censored intranet then access is worthless.

The resolution opens doors for PPI:

* We will continue to participate in the IGF!
* We will push for Open Source
* We will defend encryption and anonymity.

We look forward to updating you more about our activities at the IGF next year, as well as future conferences about the global governance of the internet.

pp-international.net/2025/12/w…

Una falla di sicurezza davvero è stata scoperta in Windows Admin Center (WAC) di Microsoft. In pratica, un errore di autorizzazione può far assumere il controllo totale di un server a qualsiasi utente standard.

Il team di Cymulate Research Labs hanno pubblicato un nuovo report che illustra la scoperta di CVE-2025-64669, ovvero una vulnerabilità (CVSS 7.8) di tipo Local Privilege Escalation (LPE). Questa debolezza va a colpire proprio le versioni più in voga dello strumento per gestire l’infrastruttura. Insomma, è una vulnerabilità che può mettere a rischio la sicurezza dei server.

La notizia è arrivata dopo un’analisi approfondita da parte del team di ricerca, che ha messo nel mirino il problema. A quanto pare, la falla di sicurezza è una guest star nelle versioni più popolari di WAC. Un utente con intenzioni poco pure potrebbe facilmente approfittare di questo errore per ottenere i privilegi di amministratore e quindi prendere il controllo totale del server, il che è davvero poco rassicurante.

Il problema nasce da un errore di configurazione davvero semplice: una cartella di sistema super importante è stata lasciata sbloccata. I ricercatori hanno scoperto che la directory C:ProgramDataWindowsAdminCenter era impostata per essere accessibile a tutti gli utenti standard, anche per quanto riguarda la scrittura. In pratica, questo errore ha permesso agli aggressori di prendere il controllo della situazione. Ora, grazie alla correzione di Microsoft, la falla è stata chiusa.

La vulnerabilità è stata causata da una mancata protezione della cartella, che è stata configurata per essere accessibile a tutti, senza troppe restrizioni. Questo ha fatto sì che gli utenti standard potessero scrivere nella directory, senza essere bloccati. La scoperta della vulnerabilità ha portato Microsoft a prendere provvedimenti, e ora la sicurezza della rete è stata rafforzata.

“La causa principale risiede nelle autorizzazioni di directory non sicure, in cui la cartella C:ProgramDataWindowsAdminCenter è scrivibile da tutti gli utenti standard”, afferma il rapporto. Questa svista ha fatto sì che qualsiasi utente con privilegi bassi sul sistema potesse manomettere i file utilizzati dai processi più potenti dell’Admin Center. “Gli utenti standard con accesso al file system sottostante possono sfruttare questa configurazione errata per aumentare i privilegi”.

Trovare una cartella scrivibile è una cosa, sfruttarla come arma è un’altra. I ricercatori hanno identificato due percorsi distinti per sfruttare questa falla , ma il metodo più ingegnoso prevedeva di ingannare il programma di aggiornamento del WAC.

La scoperta del team ha rivelato che era possibile effettuare un attacco di “DLL Hijacking” sul processo WindowsAdminCenterUpdater.exe. Nonostante ciò, l’aggiornamento presentava un meccanismo di protezione che consisteva nella convalida delle firme digitali prima del caricamento dei file.

“Avevamo quasi rinunciato, ma poi abbiamo notato qualcosa di interessante”, hanno scritto i ricercatori. Si sono resi conto che il processo di convalida presentava una piccola finestra di vulnerabilità, una classica falla “Time-of-Check Time-of-Use” (TOCTOU). “Il processo di convalida avviene all’interno del processo WindowsAdminCenter stesso e, al termine, richiama e apre WindowsAdminCenterUpdater.exe”.

Microsoft ha assegnato il problema CVE-2025-64669 e ha assegnato al team di Cymulate una ricompensa di 5.000 dollari per le sue scoperte. Gli amministratori che utilizzano Windows Admin Center sono invitati ad aggiornare immediatamente alla versione 2411 o successiva per colmare questa lacuna critica.

L'articolo Vulnerabilità critica in Windows Admin Center: falla sicurezza permette takeover server proviene da Red Hot Cyber.